Анализ интернет-угроз по версии Symantec

БЕЗОПАСНОСТЬ

О том, что Интернет представляет собой основной канал проникновения вредоносного ПО в компьютерные системы, индивидуальные ПК и разные другие электронные приборы, сегодня знают, кажется, даже люди, никогда не имевшие дела с вычислительными устройствами. Правда, сведения, приводимые в СМИ, порой кажутся не очень достоверными или неправильно истолкованными...

Рамиль Яфизов, ведущий

технический специалист

Symantec в России и странах

СНГ: “Отчет Symantec об

интернет-угрозах основан

главным образом на

экспертном анализе

фактических данных”

Корпорация Symantec не пользуется информацией об интернет-угрозах из вторых и даже первых рук. Она и есть как раз те самые первые руки, которые раздают экспертам пищу для дальнейших размышлений. По мнению самой компании, она ведет одну из наиболее полных в мире баз данных уязвимостей программного обеспечения, которая охватывает свыше 13 тыс. уязвимостей, влияющих на более чем 30 тыс. технологий от более чем 4 тыс. поставщиков. В дополнение к этому Symantec поддерживает BugTraq, один из самых популярных форумов для обнародования и обсуждения уязвимостей в Интернете. И наконец, Symantec Probe Network, система, содержащая свыше 2 млн. учетных записей-приманок, собирает сообщения электронной почты из 20 стран, позволяя измерять степень активности спамеров и фишеров во всем мире.

Эти источники данных предоставляют аналитикам из Symantec огромный объем сведений для выявления новых тенденций в атаках и изучения работы вредоносных программ. Результатом таких исследований является выпускаемый каждые полгода "Отчет об интернет-угрозах" (Internet Security Threat Report). Последний его вариант по итогам второй половины 2005 г. был представлен в Москве в начале апреля.

Одна из главных тенденций, по мнению экспертов из Symantec, - увеличение числа коммерческих вредоносных программ, разрабатываемых с целью обогащения (онлайновое мошенничество, кража конфиденциальной информации и пр.). По данным Symantec, доля таких программ в общем объеме вредоносного ПО увеличилась за второе полугодие 2005 г. с 74 до 80%. Наиболее же предпочтительными инструментами атак являются сегодня боты, бот-сети и настраиваемые или "модульные" вредоносные программы*1. При этом продолжается уменьшение "шумных" угроз и соответствующее увеличение тихих, скрытых проникновений. В то же время традиционной защиты периметра компьютерных систем уже недостаточно - по мере роста числа атак на клиентской стороне и атак веб-приложений нарушители находят все новые и новые пути во внутреннюю сеть. Кроме того, отмечается увеличение вредоносного кода для мобильных устройств, особенно для смартфонов, а также усиление угроз для систем обмена мгновенными сообщениями.

_____

*1 Модульный вредоносный код-это код, который изначально обладает ограниченной функциональностью, например блокирует работу антивирусного ПО и брандмауэров, но может обновляться, приобретая новые, потенциально более разрушительные возможности. Такой код часто используется для загрузки приложений, собирающих конфиденциальную информацию, без ведома и согласия пользователя.

Точкой фокуса атак чаще всего становятся веб-приложения и веб-браузеры. В этой связи авторы отчета приводят сведения об устойчивости к отражению атак различных настольных и серверных ОС. По этим данным получается, что Windows несколько уступает по уровню защиты системам Linux (если на Windows вовремя ставятся все обновления безопасности, то эта ОС также становится непробиваемой). Но в данном случае нужно учитывать и то, что число найденных уязвимостей ПО определяется не только качеством самого продукта, но и объемом "исследований" со стороны хакеров и вирусописателей (Windows является самой популярной ОС, и основной удар вредоносных программ обращен именно против нее).

Виктор Попов: “Мы убедились,

что предлагаемые нами

услуги по обеспечению

безопасности бизнеса

востребованы рынком”

Еще одна любопытная тенденция - это рост коммерциализации поиска уязвимостей, когда "дыры" ищутся, в том числе и хакерами, только с целью продажи этих сведений поставщикам ПО, чтобы те смогли залатать "прорехи", или злоумышленникам, готовым воспользоваться найденными лазейками. Каждый отчет корпорации Symantec заканчивается краткосрочными прогнозами в области интернет-угроз. На этот раз они таковы:

- ожидается повышение разнообразия и сложности угроз, а также усиление преступной деятельности, направленной на хищение конфиденциальной, финансовой и персональной информации в корыстных целях;

- злоумышленники будут все чаще использовать root-kit-методы как средство преодоления мер безопасности и предотвращения обнаружения;

- будет усиливаться коммерциализация поисков уязвимостей, продолжится рост черного рынка и активизируются покупки информации об уязвимостях в преступных целях;

- ожидается появление угроз для нетрадиционных платформ - игровых консолей и объединенных устройств передачи голоса и данных, онлайновых игр;

- будет расти число фишинговых сообщений и вредоносных программ, распространяемых через службы немедленного обмена сообщениями;

- предполагается, что в ближайшем будущем начнется рост числа ботов и бот-сетей, так как злоумышленники начнут использовать все большее число уязвимостей в веб-приложениях и веб-браузерах.

Что же касается распределения интернет-угроз по странам мира, то Россия далеко отстала от "лидеров"; в этом плане ситуация в нашей стране выглядит, по мировым меркам, весьма благополучно. Одна из причин тому - неразвитая пока система электронных платежей. Но тут ситуация довольно быстро меняется, и уровень угроз может быстро возрасти уже в ближайшем будущем.

В этой связи представляет интерес деятельность центра технической поддержки Symantec, работающего с 2002 г. на базе компании IBS. Как пояснил директор отделения технологий IBS Виктор Попов, этот центр нацелен на поддержку корпоративных пользователей с помощью решений защиты Symantec в России. За 2005 г. оборот IBS по продуктам Symantec составил 1,937 млн. долл. (из них 83% - продажа лицензий, остальное - дополнительные услуги). Одним из самых популярных продуктов является Symantec Client Security, а также аппаратно-программный комплекс Security Gateway Security. В последнее время растет также интерес заказчиков к использованию интегрированных решений, в том числе на базе Symantec Seсurity Information Manager.